O agenție americană de securitate cibernetică solicită organizațiilor să-și îmbunătățească protecția cibernetică după ce a avertizat cu privire la atacurile multiple de succes care vizează serviciile cloud utilizate de lucrătorii de la distanță.
Cybersecurity and Infrastructure Security Agency (CISA) a dezvăluit într-un raport că atacatorii vizează din ce în ce mai mult laptopurile corporative și personale cu phishing, încercări de conectare ”brute force” și, eventual, atacuri de tip ”pass-the-cookie” pentru a accesa conturile cloud.
Deși aceste atacuri nu erau legate de o singură persoană rău intenționată, ele împărtășeau multe din aceleași tactici.
Unii atacatori au falsificat în e-mail-uri de phishing serviciile de găzduire a fișierelor și alți furnizori legitimi de servicii pentru a recolta credențiale, înainte de a utiliza aceste conturi deturnate pentru a lansa atacuri de phishing către alți membri din organizație.
În unele atacuri, persoanele rău intenționate care au deturnat conturi au modificat regulile de redirecționare și de căutare a cuvintelor cheie. Acest lucru este adesea făcut de atacatorii BEC care doresc să monitorizeze conversațiile prin e-mail cu furnizorii și să ascundă avertismentele de phishing.
De exemplu, un server VPN a fost configurat cu portul 80 deschis pentru accesul lucrătorilor de la distanță, astfel încât criminalii cibernetici l-au vizat cu încercări de conectare cu forță brută.
Deși autentificarea cu mai mulți factori (MFA) a zădărnicit unele încercări de atac cu forță brută asupra conturilor, într-un caz se crede că persoanele rău intenționate au folosit cookie-uri de browser pentru a depăși MFA cu un atac ”pass-the-cookie”.
CISA a subliniat că niciuna dintre aceste activități nu este legată de atacul recent al lanțului de aprovizionare SolarWinds despre care se crede că a fost efectuat de actori sofisticați ai statului rus.
Cu toate acestea, aceste atacuri au devenit cu siguranță suficient de răspândite pentru a justifica intervenția agenției. Aceasta a oferit o listă lungă de recomandări pentru organizații pentru a-și îmbunătăți protecția cibernetică și a consolida practicile de securitate în cloud.
Pe lângă politicile privind accesul condiționat (conditional access – CA), MFA, restricțiile privind redirecționarea e-mailurilor, instruirea utilizatorilor, accesul securizat privilegiat și încrederea zero (zero trust), CISA susține că angajații care lucrează de la distanță nu ar trebui să utilizeze dispozitive personale pentru muncă. Cel puțin instrumentele de gestionare a dispozitivelor mobile (mobile device management – MDM) ar trebui utilizate pentru a atenua riscul, a spus acesta.
Sursa: Infosecurity Magazine
